Cybersecurity
Pag-atake sa Supply-Chain ng NPM: Ano ang Nangyari at Paano Ito Ayusin
Kamakailan lamang naranasan ng industriya ng cryptocurrency at ng buong mundo ang isang biglaang takot nang matukoy ng mga eksperto sa seguridad ang isang supply-chain attack na tumarget sa ecosystem ng Node.js na nakompromiso na ng hanggang 18 npm packages.
Ito ay dahil ang mga ilang package na ito ay may bilyong pag-download bawat linggo.
Ang mga software package ay ginagamit upang ipamahagi ang third-party na software. Kadalasang kinukuha mula sa panlabas na pinagmulan sa pamamagitan ng package manager, karaniwan itong naglalaman ng source code, mga library, dokumentasyon, at iba pang mga file na kinakailangan upang buuin at patakbuhin ang software.
Ngayon, ang isang package na naglalaman ng malware ay nagkukunwaring lehitimo, ngunit sa katunayan ay mapanirang may layuning magpasok ng malware sa software. Pagpasok nito sa isang sistema, ang malware sa mapanirang package ay maaaring magbago ng mga file, magnakaw ng data, at kahit sakupin ang buong sistema upang gawin ang nais ng attacker.
Bagaman ang iba pang pangunahing open source ecosystem tulad ng Python at .NET ay kasing-bulnerable din sa mga pag-atake, ang malawak na paggamit ng JavaScript ay nagiging partikular na bukas sa mga cybercriminal.
Ang Node.js ay isang open-source runtime environment na nakatayo sa ibabaw ng JavaScript na nagbibigay-daan sa mga developer na patakbuhin ang kanilang code sa labas ng web browser.
Tradisyonal, ang interpreted programming language na kilala sa pagtulong na gawing interactive ang mga web page ay pangunahing ginagamit para sa client-side web development sa loob ng mga browser, ngunit pinalawak ng Node.js ang paggamit ng JavaScript sa server-side at iba pang mga aplikasyon.
Sa Node.js, maaaring bumuo ang mga developer ng mabilis at scalable na mga aplikasyon tulad ng web server, API, mga tool, at iba pa.
Ito ay nakikinabang mula sa napakalawak na ecosystem ng open-source na mga library at tool na makukuha sa pamamagitan ng npm, na nagpapasimple ng development at nagbibigay ng mga solusyon para sa iba’t ibang functionality.
Ang Node Package Manager, o npm, ay isang pangunahing tool sa JavaScript development, na ginagamit upang maghanap, bumuo, at pamahalaan ang mga code package. Tumutulong ito sa paghawak ng dependencies, pagpapahintulot ng kolaborasyon, at pagpapasimple ng mga workflow.
Ang pinakamalaking Software Registry sa mundo ay naglalaman ng higit sa 3 milyong code package at ganap na libre gamitin.
Sinuman ay maaaring mag-download ng lahat ng pampublikong npm software package nang hindi kailangang magrehistro. Ginagamit ng mga open-source developer ang npm upang magbahagi at humiram ng software, habang maraming organisasyon ang gumagamit nito upang pamahalaan ang pribadong development.
Upang ma-install ang npm sa iyong computer, kailangan mo munang i-install ang Node.js.
Ang package manager para sa JavaScript ay pinamamahalaan ng npm, Inc., isang subsidiary ng GitHub, ang nangungunang platforma sa pag-develop ng software sa mundo, na pag-aari ng Microsoft mula 2018, nang bilhin ito ng higanteng tech para sa $7.5 bilyon upang palakasin ang mga developer.
Noong nakaraang linggo, ang tool na pinagkakatiwalaan ng higit sa 17 milyong developer sa buong mundo ay na-kompromiso, na nagdulot ng panic sa Internet, bagaman pansamantala lamang, dahil nahuli ito ng mga eksperto agad, at hindi nakapag-nakaw ng higit sa $50 ang mga attacker. Narito ang nangyari!
Ano ang Nangyari sa Pag-atake sa Supply-Chain ng NPM (Setyembre 2025)
Sa malawak na supply chain attack na naganap sa ecosystem ng JavaScript, nakompromiso ng mga hacker ang isang serye ng npm package na may malware. Ang layunin ng pag-atake ay magnakaw ng digital na assets mula sa mga hindi nag-aakalang gumagamit.
Partikular, ang npm account ng developer na ‘qix’ ay na-hack.
Ang Qix ay isang open source maintainer account na nakompromiso dahil sa isang phishing attack. Pinayagan nito ang mga attacker na ma-infect ang 18 popular na npm package ng malicious code. Sama-sama, ang mga package na ito ay na-download ng daan-daang milyong beses lingguhan dahil sila ay naka-embed sa mga framework, developer tooling, at production services.
Kabilang sa mga apektadong package ang chalk, debug, color-name, wrap-ansi, at ansi-styles, na ilan sa mga pinaka-popular, habang ang mga hindi gaanong popular na npm package na apektado ay backslash, chalk-template, at has-ansi.
Mag-swipe upang mag-scroll →
| Package | Bersyon(s) na Na-kompromiso | Aksyon |
|---|---|---|
| debug | 4.4.2 | I-pin sa pre-4.4.2; i-reinstall; i-scan ang build logs |
| chalk | 5.6.1 | I-pin sa pre-5.6.1; i-redeploy ang malinis na build |
| ansi-styles | 6.2.2 | I-pin sa pre-6.2.2; i-audit ang downstream dependencies |
| ansi-regex | 6.2.1 | I-pin sa pre-6.2.1 |
| strip-ansi | 7.1.1 | I-pin sa pre-7.1.1 |
| wrap-ansi | 9.0.1 | I-pin sa pre-9.0.1 |
| color, color-convert, color-string, color-name | 5.0.1 / 3.1.1 / 2.1.1 / 2.0.1 | I-pin sa mga pre-listadong bersyon; i-re-lock at i-rebuild |
| has-ansi, supports-color, slice-ansi | 6.0.1 / 10.2.1 / 7.1.1 | I-pin sa mga pre-listadong bersyon |
| backslash, is-arrayish, error-ex, simple-swizzle, chalk-template, supports-hyperlinks | 0.2.1 / 0.3.3 / 1.3.3 / 0.2.3 / 1.1.1 / 4.1.1 | I-pin sa mga pre-listadong bersyon |
| duckdb, @duckdb/node-api, @duckdb/node-bindings, @duckdb/duckdb-wasm | 1.3.3 / 1.3.3 / 1.3.3 / 1.29.2 | Iwasan ang mga nakalistang bersyon; hintayin ang mga update mula sa vendor |
Lahat ng mga package na apektado ay mula noon tinanggal ng npm registry. Sa pamamagitan ng pag-kompromiso ng isang high-value na open-source maintainer, ginamit ng pag-atake ang tiwala sa open-source software (OSS) ecosystem, dahil hindi ina-audit ng mga developer ang bawat dependency na kanilang ginagamit. Ang ginagawa nila ay umasa sa kanilang paggamit at reputasyon, pati na rin sa seguridad ng mga registry.
Upang makompromiso ang mga package, gumamit ang hacker ng phishing. Una, naglunsad ang attacker ng phishing campaign upang sakupin ang account ng isang npm package maintainer, pagkatapos ay ini-inject ang kanilang malicious code sa npm package bago i-upload ang mga nakompromisong bersyon.
Ang developer na si Josh Junon ang biktima ng isang phishing email na bahagi ng mas malaking kampanya na nag-imitate sa npm. Kaya, ginamit ng mga attacker ang isang phishing site na ginaya ang login page ng npm upang nakawin ang kanyang credentials. At nang makapasok ang mga attacker, in-lock nila si Junon sa pamamagitan ng pagbabago ng email address sa kanyang npm account.
“Hi, oo nakuha ako. Pasensya sa lahat, napaka-embarrassing,” isinulat si Junon sa HackerNews, kinukumpirma ang insidente. Ipinaliwanag niya bago linawin na npm lamang ang apektado:
“Mukhang lehitimo sa unang tingin. Hindi ako nag-iimbot, nagkaroon lang ako ng mahabang linggo at isang panikang umaga at sinusubukang tapusin ang isang bagay sa aking listahan ng mga gagawin. Nagkamali ako sa pag-click ng link imbes na pumunta nang direkta sa site.”
Ang phishing email ay nagmula sa support [at] npmjs [dot] help at gumamit ng takot na taktika upang mapindot si Junon sa link, na nag-redirect sa kanya sa phishing site.
Nagpanggap na mula sa npm, hiniling ng mga attacker kay siya na i-update ang kanyang 2FA credentials, na nagsasabing bahagi ito ng “patuloy na pangako sa seguridad ng account,” at na hinihingi nila ito sa lahat ng user.
“Ayon sa aming mga tala, mahigit 12 buwan na mula noong huling 2FA update mo,” sinabi ng phishing email, na idinagdag na ang mga may “lumang 2FA credentials ay pansamantalang i-lock simula Setyembre 10, 2025, upang maiwasan ang hindi awtorisadong pag-access.”
Ang parehong email ay ginamit din upang targetin ang iba pang mga maintainer ng package at mga developer.
Dahil sa malawak na paggamit ng mga apektadong package, maaaring naging malaking insidente ito kung hindi ito naproseso nang mabilis.
Ayon kay Charlie Erickson ng Aikido Security na binanggit sa isang ulat, napakaraming website ang nakaiwas sa napakadelikadong pinsala mula sa pag-atakeng ito, kung saan ang npm package ay naglalaman ng code na mag-eexecute sa client ng website.
“Ang malware na ito ay essentially isang browser-based interceptor na sumasakop sa parehong network traffic at application APIs,” sinabi niya sa kanyang pagsusuri ng pag-atake. “Ang nagiging mapanganib nito ay ang pag-andar nito sa maraming layer: binabago ang nilalaman na ipinapakita sa mga website, nilalabag ang mga tawag sa API, at manipulahin kung ano ang pinaniniwalaan ng mga app ng user na kanilang pinipirmahan. Kahit na tama ang itsura ng interface, ang pinakapayak na transaksyon ay maaaring ma-redirect sa background.”
Ang malicious code ay dinisenyo upang magnakaw ng crypto. Ang attacker ay nag-scan ng mga string para sa mga crypto wallet address, na naglalagay ng mga gumagawa sa crypto-related na aplikasyon sa panganib.
Tahimik na gumana ang malware sa loob ng browser nang hindi nalalaman ng user, muling sinusulat ang mga wallet address at nireredirekta ang pondo sa mga account na kontrolado ng attacker. Direktang kinukuha at minamanipula nito ang mga transaksyon sa Bitcoin (BTC ), Ethereum (ETH ), Solana (SOL ), Tron (TRX ), Litecoin (LTC ), at Bitcoin Cash (BCH ) sa isang nakompromisong sistema.
Upang magawa ito, minomonitor ng malicious code ang mga browser application programming interfaces tulad ng fetch at mga wallet interface tulad ng window.ethereum.
Ang malicious code “tahimik na nag-iintercept ng crypto at Web3 activity sa browser, minamanipula ang mga wallet interaction, at muling sinusulat ang mga destinasyon ng bayad upang ang mga pondo at pag-apruba ay ma-redirect sa mga account na kontrolado ng attacker nang walang malinaw na palatandaan sa user,” sabi ni Erickson.
Kapag natapos, tinatakpan ng malware ang mga bakas nito habang nananatili sa background upang mahuli ang anumang susunod na transaksyon sa network ng hindi nalalaman na biktima.
Dahil sa kalubhaan ng pag-atake, binalaan ni Charles Guillemet, ang CTO ng hardware wallet provider na Ledger, ang mga crypto user na maging maingat kapag kinukumpirma ang on-chain na mga transaksyon. Ang mga apektadong package, ayon sa kanyang tala sa post, ay na-download na ng higit sa 1 bilyong beses.
Ayon sa kanyang pagbabahagi sa komunidad, ang malawakang supply chain attack, ay target ang mga crypto software wallet na may ang malicious payload “tahimik na pinapalitan ang crypto address on the fly upang magnakaw ng pondo.”
“Kung gumagamit ka ng hardware wallet, bigyang-pansin ang bawat transaksyon bago pumirma at ligtas ka. Kung hindi ka gumagamit ng hardware wallet, iwasan muna ang paggawa ng anumang on-chain na transaksyon.”
– Guillemet
Samantala, si 0xngmi, ang pseudonymous founder ng DefiLlama, isang crypto analytics platform, ay pumunta sa X upang ibahagi na “ang epektibong saklaw ng epekto ay mas maliit kaysa “lahat ng website'”, dahil tanging ang mga proyektong maaaring nasa panganib ay ang mga na na-update matapos mailathala ang npm package na may malware. Gayunpaman, “mas ligtas na iwasan muna ang paggamit ng crypto website hanggang matapos ito at malinis nila ang mga maling package,” dagdag pa niya.
Sa huli, nakapag-nakaw lamang ang mga hacker ng $50 na halaga ng cryptocurrency mula sa ganitong napakalaking supply chain attack. Ang $50 ay kinabibilangan ng Ether at ilang meme coin tulad ng Brett at Andy, at iba pa.
Gayunpaman, ito ay higit na swerte kaysa anumang bagay dahil ang crypto intelligence platform na Security Alliance ay nagkomento sa X:
“Ito sana ay naging mas masama. Isang stealthily deployed na backdoor na target ang mga developer machine na nakatuon sa persistence ay maaaring nanatili sa ilalim ng radar nang hindi alam kung gaano katagal.”
Mula noon, maraming na crypto application tulad ng Aave, Uniswap, Ledger, Jupiter, MetaMask, Phantom, Blast, at iba pa ay nagpaalam sa kanilang mga audience na ligtas sila mula sa npm attack.
Bagaman nabigo ang pag-atake, ito ay isang matinding paalala para sa mga developer na para sa pinakamataas na seguridad, kailangan nilang lumampas sa kanilang sariling codebase. Kahit ang mga software dependency na pinagkakatiwalaan at malawak na ginagamit ay maaari ring ma-kompromiso anumang oras.
Dito, ang mga coding platform tulad ng GitHub at npm ay kailangan ding gumawa ng higit pa upang matiyak ang kaligtasan ng malawakang ginagamit na mga package.
“Ang mas popular na mga package ay dapat humingi ng attestation na nagmula ito sa pinagkakatiwalaang provenance at hindi basta-basta mula sa anumang lokasyon sa Internet.”
– Eriksen
Ang mga kompromiso sa code repository, sa huli, ay maaaring lubos na mapaminsala para sa mga developer, na maaaring mag-abandona ng kanilang buong proyekto dahil sa ganitong insidente.
Ang insidente ay patunay kung gaano kalapit at kahinaan ang ecosystem ng software ngayon sa pag-exploit. Ang isang nakompromisong account ay maaaring magbigay sa mga attacker ng napakalawak na abot, kaya kritikal na magpatupad ng pinahusay na mga hakbang sa supply chain security sa bawat hakbang ng proseso ng development.
Pagpapanatili ng Kaligtasan Laban sa Mabilis na Pagtaas ng Banta ng Malware
Sa pagtaas ng mga banta ng malware at ang mga pag-atake ay nagiging mas advanced at target, mahalaga na para sa mga user na maging edukado at palaging mapagbantay sa lahat ng platform.
Ang malicious software o malware ay isa sa mga pinaka-karaniwang uri ng cyberattack. Dito, bumubuo ang mga attacker ng software code o computer program na may layuning makakuha ng access o magdulot ng pinsala sa computer ng biktima nang hindi nalalaman ng biktima na sila ay na-kompromiso.
Taon-taon, bilyong malware attack ang nangyayari sa buong mundo sa lahat ng uri ng device at operating system. Sa paggamit ng malware, kinukulong ng mga cybercriminal hindi lamang ang mga device kundi pati buong enterprise network.
Sa pagkuha ng hindi awtorisadong access sa mga device ng biktima, ninanakaw ng mga attacker ang digital assets at sensitibong data, kabilang ang login credentials, numero ng credit card, at iba pang mahalagang impormasyon. Ang mga malware attack ay patuloy na tinatarget ang mga negosyo dahil ang mga kumpanya ay nagtataglay ng malaking dami ng personal na data, na maaaring gamitin ng mga hacker upang extort ng malaking halaga ng pera.
Ipinapakita ng data na ang karamihan (59%) ng mga organisasyon ay nakaranas ng ganitong pag-atake noong 2024. Kahit ang mas maliliit na kumpanya ay hindi ligtas, kung saan 47% sa kanila ay tinamaan ng ransomware noong nakaraang taon. Samantala, ang average na bayad sa ransom ay tumaas ng 500% sa $2 milyon sa panahong iyon.
Ang average na gastos sa pag-recover mula sa malware attack ay umabot na sa $2.73 milyon. Isa sa pinakamalaking banta na kinahaharap ng Internet ngayon ay malware, na maaaring magkaroon ng iba’t ibang anyo na may layuning saktan ang mga computer system at ang kanilang mga user.
Ang mga virus, ransomware, trojan, worm, spyware, adware, at crypto-jacking ay lahat iba’t ibang uri ng malware. Ang lahat ng ito ay dinisenyo upang makakuha ng hindi awtorisadong access sa isang network o sirain ang mga computer system.
Pagdating sa mga ugat na sanhi ng mga pag-atake, ang pinakamalaking isa na may 32% ay ang mga attacker na nag-eexploits ng vulnerabilities, sinundan ng compromised credentials (29%) at pagkatapos ay malicious emails (23%).
Ngayon, lang paano maiiwasan ng isang tao ang patuloy na banta na ito? Ang unang at pinakasimpleng hakbang ay laging panatilihing up-to-date ang iyong computer at software. Gayundin, kritikal na huwag mong mag-click nang halos anumang bagay sa Internet. Lalo na bilang isang crypto user, dapat maging mapaghinala sa mga link at huwag mag-download ng anumang hindi mo sigurado.
Pareho rin ito sa anumang attachment sa email. Mag-ingat sa pagbukas ng kahina-hinalang email at subukang limitahan ang iyong file-sharing. Mabuting mag-install ng antivirus software sa iyong device.
Bagaman hindi maiiwasan, maaaring ihanda ng mga organisasyon ang kanilang sarili laban sa malware attack sa pamamagitan ng pagpapalakas ng kanilang depensa. Ang pinaka-direktang paraan upang gawin ito ay sa pamamagitan ng paggamit ng matitibay na password, multi-factor authentication, at VPNs, na maaari ring gamitin ng mga indibidwal upang mas epektibong protektahan ang kanilang sarili.
Kailangan ng mga organisasyon na patuloy na subaybayan ang mga device para sa mga palatandaan ng kahina-hinalang aktibidad, tasahin ang anumang vulnerabilities, at magsagawa ng penetration testing. Ang mga backup ng sensitibong data sa mga drive na hindi nakakonekta sa network, ay makakatulong sa pag-recover mula sa malware attack.
Kailangan ng mga empleyado na masanay upang makilala ang ganitong mga pag-atake ng mas mahusay at tumugon agad sa pamamagitan ng pagkakaroon ng incident response plan at alam kung kanino dapat kontakin kapag may hinala ng banta ng malware.
Sa pamamagitan ng paggamit ng zero trust network architecture, maaaring matiyak ng mga kumpanya na walang sinuman ang makakakuha ng access sa data o assets na hindi nila dapat. Sa zero trust, ang mga user ay hindi kailanman pinagkakatiwalaan at palaging sinusuri.
Sa kasalukuyang hyper-digital buhay, ang mga praktis na ito ay makakatulong sa isang tao protektahan ang sarili laban sa mga panganib ng patuloy na nagiging interconnected na mundo.
Pagdating sa pagprotekta sa sarili mula sa malicious package, ang pangkalahatang rekomendasyon sa seguridad laban sa malware ay naaangkop din sa npm attack, ngunit siyempre, may karagdagang, partikular na pag-iingat na dapat gawin dahil ang ecosystem ay partikular na vulnerable dahil sa bukas nitong kalikasan, malawak na pag-reuse ng maliliit na package, at malalaking dependency tree.
Upang protektahan ang iyong sarili mula sa seryosong banta na ito, dapat palagi mong i-double-check na mapagkakatiwalaan ang package bago ito i-install. Ang pag-verify ng integridad ng package ay titiyak na hindi nabago ang iyong dependency tree.
Kapag naghahanap ng palatandaan ng hindi lehitimo, bukod sa pinagmulan at pagmamay-ari ng package, suriin anumang pagbabago sa mga maintainer. Maaari ka din nais alamin kung ano ang ginagawa ng mga package at kung bakit ito kailangan.
Gumamit ng mga security tool na patuloy na nagmo-monitor para sa mga bagong banta at nagbibigay ng actionable advice upang mapagaan ang sitwasyon. maaaring patakbuhin ang npm audit checks para sa mga kilalang vulnerabilities sa dependencies ng proyekto. Ang pagpapatupad ng automated security scans bago i-deploy ay titiyak na tanging nirepasong at aprubadong code lamang ang mapupunta sa production.
Ngayon, upang protektahan ang iyong sarili mula sa pinakabagong malware attack, kailangan mong i-pin ang mga apektadong package sa kanilang pinakaligtas na bersyon bago ang kompromiso gamit ang overrides feature sa package.json.
Patakbuhin ang npm audit o gumamit ng software composition analysis (SCA) tools upang suriin ang mga apektadong bersyon sa iyong dependency tree. Mag-monitor para sa anumang Indicators of Compromise (IoCs) sa pamamagitan ng pagsuri sa iyong build logs, developer environment, at outbound traffic para sa kahina-hinalang aktibidad.
I-click dito para sa listahan ng nangungunang limang kumpanya na lumaban sa mga cyberattack.
Pangwakas na Kaisipan: Pagpapatibay ng Open-Source Dependencies
Ang mga banta sa internet ay patuloy na tumataas at nagiging mas sopistikado.
Sa mga attacker na lumilipat sa mga bagong attack vector at tinatarget ang mga proyekto na kulang sa resources, nagiging mahalaga para sa mga developer, enterprise, at user na huwag maghintay na ang banta ay lumitaw bago kumilos, ngunit gumawa ng mga proactive na hakbang dahil ang isang mahina na link ay maaaring guyain ang buong sistema.
Sa pamamagitan ng patuloy na pag-alam sa mga lumalabas na banta at patuloy na pag-audit ng software supply chain at pagmo-monitor ng mga banta, tunay nating mapapangalagaan ang ating sarili laban sa patuloy na nagbabagong cyber risk.
